Neste artigo, falaremos sobre os fundamentos da captura e análise do tráfego SIP gerado por um PABX 3CX. O artigo é dirigido a administradores de sistema novatos ou usuários comuns cujas funções incluem manutenção de telefonia. Para um estudo aprofundado do tema, recomendamos que você vá .
O 3CX V16 permite que você capture o tráfego SIP diretamente através da interface web do servidor e salve-o no formato Wireshark PCAP padrão. Você pode anexar um arquivo de captura ao entrar em contato com o suporte técnico ou baixá-lo para auto-análise.
Se o 3CX estiver rodando no Windows, você mesmo precisa instalar o Wireshark no servidor 3CX. Caso contrário, a seguinte mensagem aparecerá ao tentar capturar.
Em sistemas Linux, o utilitário tcpdump é instalado automaticamente quando você instala ou atualiza o 3CX.
captura de tráfego
Para iniciar a captura, vá para a seção de interface Principal > Eventos SIP e selecione a interface na qual deseja capturar. Você também pode capturar tráfego em todas as interfaces ao mesmo tempo, exceto para interfaces de encapsulamento IPv6.
No 3CX para Linux, você pode capturar tráfego para o host local (lo). Essa captura é usada para analisar as conexões do cliente SIP por tecnologia. .
O botão "Traffic Capture" inicia o Wireshark no Windows ou o tcpdump no Linux. Neste ponto, você precisa reproduzir rapidamente o problema, porque. A captura carrega o processador e ocupa espaço em disco suficiente.
Preste atenção nas seguintes opções de chamada:
- O número do qual a chamada foi feita, para o qual outros números / participantes da chamada também ligaram.
- A hora exata em que o problema ocorreu de acordo com o relógio do servidor 3CX.
- Caminho da chamada.
Tente não clicar em nenhum outro lugar da interface que não seja o botão Parar. Além disso, não clique em outros links nesta janela do navegador. Caso contrário, a captura de tráfego continuará em segundo plano e causará carga adicional no servidor.
Obtendo um arquivo de captura
O botão Parar interrompe a captura e salva o arquivo de captura. Você pode baixar o arquivo para o seu computador para análise no utilitário Wireshark ou gerar um arquivo personalizado , que incluirá essa captura e outras informações de depuração. Uma vez baixado ou incluído em um pacote de suporte, o arquivo de captura é removido automaticamente do servidor 3CX para fins de segurança.
No servidor 3CX, o arquivo está localizado no seguinte local:
- Windows: C:ProgramData3CXInstance1DataLogsdump.pcap
- Linux: /var/lib/3cxpbx/Instance/Data/Logs/dump.pcap
Para evitar aumento da carga do servidor ou perda de pacotes durante a captura, o período de captura é limitado a 2 milhões de pacotes. Depois disso, a captura será interrompida automaticamente. Se você precisar de uma captura mais longa, use o utilitário Wireshark separado, conforme descrito abaixo.
Capturando tráfego com Wireshark
Se você estiver interessado em uma análise mais profunda do tráfego de rede, capture-o manualmente. Baixe o utilitário Wireshark para o seu sistema operacional . Depois de instalar o utilitário no servidor 3CX, vá para Captura > Interfaces. Todas as interfaces de rede do sistema operacional serão mostradas aqui. Os endereços IP da interface podem ser exibidos no padrão IPv6. Para ver o endereço IPv4, clique no endereço IPv6.
Selecione a interface para capturar e clique no botão Opções. Desmarque Capturar tráfego no modo promíscuo e deixe o restante das configurações inalteradas.
Agora você deve reproduzir o problema. Quando o problema for reproduzido, interrompa a captura (menu Capturar > Parar). Você pode selecionar mensagens SIP no menu Telefonia > Fluxos SIP.
Fundamentos da Análise de Tráfego - Mensagem SIP INVITE
Considere os principais campos da mensagem SIP INVITE, que é enviada para estabelecer uma chamada VoIP, ou seja, é o ponto de partida para a análise. Normalmente o SIP INVITE inclui de 4 a 6 campos com informações que são utilizadas pelos dispositivos finais SIP (telefones, gateways) e operadoras de telecomunicações. Compreender o conteúdo do INVITE e as mensagens que o seguem geralmente ajudam a determinar a origem do problema. Além disso, conhecer os campos INVITE ajuda ao conectar operadoras SIP ao 3CX ou combinar 3CX com outros PBXs SIP.
Na mensagem INVITE, os usuários (ou dispositivos SIP) são identificados por URI. Normalmente, o URI SIP é o número de telefone do usuário + endereço do servidor SIP. O URI SIP é muito semelhante a um endereço de e-mail e é escrito como sip:x@y:Port.
Linha de solicitação-URI:
Request-Line-URI - O campo contém o destinatário da chamada. Ele contém as mesmas informações do campo Para, mas sem o nome de exibição do usuário.
via:
Via - cada servidor SIP (proxy) por onde passa a solicitação INVITE, adiciona seu endereço IP e porta na qual a mensagem foi recebida no topo da lista Via. A mensagem é então transmitida ao longo da rota. Quando o destinatário final responde a uma solicitação INVITE, todos os nós de trânsito "olham" para o cabeçalho Via e retornam a mensagem ao remetente pela mesma rota. Nesse caso, o proxy SIP de trânsito remove seus dados do cabeçalho.
Desde:
De - o cabeçalho indica o iniciador da solicitação do ponto de vista do servidor SIP. O cabeçalho é formado da mesma forma que um endereço de e-mail (usuário@domínio, onde usuário é o número do ramal do usuário 3CX e domínio é o endereço IP local ou domínio SIP do servidor 3CX). Assim como o cabeçalho To, o cabeçalho From contém um URI e, opcionalmente, o nome de exibição do usuário. Observando o cabeçalho From, você pode entender exatamente como essa solicitação SIP deve ser processada.
O padrão SIP RFC 3261 estipula que, se um Nome de exibição não for transmitido, o telefone IP ou gateway VoIP (UAC) deve usar o Nome de exibição "Anônimo", por exemplo, De: "Anônimo"[email protegido]>.
Até:
Para - Este cabeçalho especifica o destinatário da solicitação. Pode ser o destinatário final da chamada ou um link intermediário. O cabeçalho geralmente contém o SIP URI, mas outros esquemas são possíveis (ver RFC 2806 [9]). No entanto, o SIP URI deve ser suportado em todas as implementações do protocolo SIP, independentemente do fabricante do hardware. O cabeçalho To também pode conter um nome de exibição, como To: "First Name Last Name"[email protegido]>).
Normalmente, o campo Para contém um SIP URI apontando para o primeiro (próximo) proxy SIP que manipulará a solicitação. Este não precisa ser o destinatário final da solicitação.
Contato:
Contato - O cabeçalho contém um SIP URI que pode ser usado para contatar o remetente da solicitação INVITE. Este é um cabeçalho obrigatório e deve conter apenas um SIP URI. Faz parte da comunicação bidirecional correspondente à solicitação SIP INVITE original. É muito importante que o cabeçalho Contact contenha as informações corretas (incluindo o endereço IP) nas quais o remetente da solicitação espera uma resposta. O contato URI também é usado em outras comunicações após o estabelecimento da sessão.
Permitir:
Permitir - o campo contém uma lista de parâmetros (métodos SIP) separados por vírgula. Eles descrevem quais recursos do protocolo SIP este remetente (dispositivo) suporta. Lista completa de métodos: ACK, BYE, CANCEL, INFO, INVITE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE. Mais métodos SIP são descritos .
Fonte: habr.com